跳转至

4.3 构建安全通信网络及安全区域边界

课程简介

构建安全的网络边界和通信通道是云上安全防御的基石。本课程将深入讲解腾讯云防火墙(CFW)、DDoS 防护(Anti-DDoS)、Web 应用防火墙(WAF)以及数字证书与 SSL 加密服务,帮助您构建“南北向”与“东西向”的全方位防御体系,确保数据在传输过程中的机密性、完整性和可用性。

学习目标

通过本课程的学习,您将能够:

  • 掌握边界防护:熟练配置云防火墙(互联网边界、NAT 边界、VPC 间)的访问控制策略。
  • 理解加密通信:深入理解 PKI 体系、数字证书原理及 SSL/TLS 握手流程。
  • 防御网络攻击:掌握 DDoS 高防 IP 与 WAF 的部署架构,有效抵御流量攻击与 Web 入侵。
  • 实施合规改造:了解国密证书的应用及 HTTPS 全站加密的最佳实践。

第一部分:云防火墙 (Cloud Firewall)

本部分导读
云防火墙是云环境下的“第一道防线”,不仅管控进出互联网的流量,还能管控 VPC 之间的内网流量。

一、产品概述

腾讯云防火墙是一款 SaaS 化 的网络安全基础设施,集成了访问控制、入侵防御(IPS)、日志审计等功能。

1.1 三种防护边界

  1. 互联网边界防火墙:管控公网 IP 与互联网之间的流量(南北向)。
  2. NAT 边界防火墙:管控私有网络内的无公网 IP 实例通过 NAT 网关访问互联网的流量。
  3. VPC 间防火墙:管控不同 VPC 之间的内网互通流量(东西向),实现微隔离。

二、高可用架构原理

传统防火墙存在单点故障风险。腾讯云防火墙采用 双机热备 架构: - 主备同步:两台防火墙实例通过 TPA 技术实现 VIP 漂移。 - 会话保持:利用 Conntrackd 技术实时同步主备防火墙的会话表(Session Table)。 - 故障切换:当主防火墙(FW-A)故障时,流量自动切换到备防火墙(FW-B)。由于会话信息已同步,已有连接不会中断,业务无感知。

三、核心功能与实践

3.1 访问控制策略

  • 默认策略:建议设置为“拒绝所有”,仅放行必要的业务流量(最小权限原则)。
  • 优先级:规则自上而下匹配,一旦匹配成功即停止后续匹配。
  • 域名过滤:支持基于域名(如 *.tencent.com)的过滤,防止恶意域名外联。

3.2 虚拟补丁 (Virtual Patching)

针对服务器未及时打补丁的漏洞(如 Log4j2),云防火墙可在网络层直接拦截攻击流量,无需重启业务服务器即可实现防护。

3.3 资产中心与审计

  • 资产盘点:自动发现云上未受保护的公网 IP、端口和服务。
  • 日志审计:记录所有流量的五元组信息及阻断日志,满足等保合规要求。

第二部分:数字证书与 PKI 体系

本部分导读
为什么 HTTPS 是安全的?这背后是一整套公钥基础设施(PKI)在支撑。

一、PKI 体系核心组件

PKI (Public Key Infrastructure) 公钥基础设施由以下部分组成:

  1. 终端实体 (End Entity):证书的使用者(如 Web 服务器、个人)。
  2. CA (Certificate Authority)证书认证机构。权威的第三方,负责签发和管理证书。
    • 根 CA (Root CA):信任的源头,自签名。
    • 中间 CA (Intermediate CA):由根 CA 授权,负责签发用户证书。
  3. RA (Registration Authority)证书注册机构。负责审核用户的身份信息,辅助 CA 工作。
  4. CRL / OCSP证书吊销列表。用于查询证书是否已被废除。

二、数字证书原理

2.1 证书包含什么?

  • 公钥 (Public Key):用于加密数据。
  • 主体信息:持有者名称、组织信息。
  • CA 签名:CA 用自己的私钥对证书内容的哈希值进行加密生成的签名。

2.2 验证流程

  1. 客户端获取服务器证书。
  2. 使用 CA 的公钥解密证书上的签名,得到摘要 A。
  3. 计算证书内容的哈希值,得到摘要 B。
  4. 对比 A 和 B:若一致,证明证书未被篡改且由 CA 签发。

三、SSL/TLS 握手流程 (以 RSA 为例)

  1. ClientHello:客户端发送支持的协议版本、加密套件列表、随机数 A。
  2. ServerHello:服务端确认协议和套件,返回服务器证书、随机数 B。
  3. 验证证书:客户端验证证书合法性。
  4. Pre-Master Secret:客户端生成随机数 C(Pre-Master Secret),用服务器公钥加密后发送。
  5. 生成会话密钥:双方利用 A、B、C 生成最终的对称会话密钥。
  6. 加密通信:后续数据传输均使用会话密钥进行对称加密。

第三部分:腾讯云 SSL 证书服务

一、证书类型选型

类型 验证方式 颁发时间 适用场景
DV (域名型) 仅验证域名所有权 10分钟 个人站、测试环境
OV (企业型) 验证企业真实身份 3-5天 企业官网、电商
EV (增强型) 极其严格的审核 5-7天 银行、金融、支付

二、核心优势

  • 一键部署:支持将证书一键推送到 CLB、CDN、WAF 等云资源,无需手动上传。
  • 国密支持:提供符合国家标准的 SM2 算法证书,满足政企合规需求。
  • 到期监控:自动化监控证书有效期,提前预警并支持自动续费。

第四部分:DDoS 防护 (Anti-DDoS)

本部分导读
面对海量流量攻击,如何保障业务不中断?

一、产品矩阵

  1. DDoS 基础防护:免费提供,默认开启。针对 CVM 等资源提供 2Gbps - 10Gbps 的防护。
  2. DDoS 高防包直接绑定在云产品(如 CLB、WAF)IP 上,无需改 DNS,透明接入。
  3. DDoS 高防 IP:提供独立的防护 IP。将业务 DNS 解析指向高防 IP,流量经过清洗后再回源。适用于非腾讯云资源或需隐藏源站 IP 的场景。

二、阶梯调度方案 (最佳实践)

痛点:日常访问希望低延迟(直连源站),攻击时希望强防护(切高防)。

方案:CNAME 自动调度 1. 日常态:DNS 解析指向源站或 CDN,流量直达,延迟低。 2. 攻击态:当检测到攻击流量超过阈值,DNS 自动将解析切换到 高防 IP。 3. 清洗:高防 IP 清洗恶意流量,将干净流量回源。 4. 恢复:攻击结束后,自动切回源站。

第五部分:Web 应用防火墙 (WAF)

本部分导读
WAF 是 Web 业务的“贴身保镖”,专门防御应用层攻击。

一、两种部署模式

模式 SaaS 型 WAF 负载均衡型 WAF (CLB-WAF)
接入方式 修改 DNS (CNAME 接入) 在 CLB 控制台一键开启
适用范围 腾讯云、非腾讯云、IDC 仅限腾讯云 CLB 后端的业务
网络架构 流量先到 WAF -> 再到源站 流量镜像/旁路清洗 (性能更好)
功能差异 支持网页防篡改、数据防泄漏 基础 Web 防护

二、SaaS WAF 工作流程

  1. 用户在 WAF 控制台配置防护域名和源站 IP。
  2. WAF 分配一个 CNAME 地址(如 www.abc.com.waf.tencent-cloud.com)。
  3. 用户修改 DNS,将域名解析指向该 CNAME。
  4. 清洗:所有访问流量先到达 WAF 集群,经过 SQL 注入、XSS、WebShell 等规则检测。
  5. 回源:合法的请求被转发回源站服务器。

三、核心防护能力

  1. AI 引擎:基于机器学习识别未知威胁和变种攻击。建议初期设为“观察模式”,学习正常流量基线后再开启“拦截模式”。
  2. CC 防护
    • 紧急模式:自动识别异常高频访问 IP 并封禁。
    • 自定义规则:针对特定 URL(如 /login)限制 QPS。
  3. 网页防篡改:缓存核心静态页面,防止黑客篡改页面内容(如挂马)。
  4. 信息防泄漏:自动识别并打码响应中的敏感信息(如身份证号、手机号)。

课程总结

知识体系回顾

  1. 通信安全:云防火墙管控 4 层访问,WAF 管控 7 层攻击,DDoS 高防抵抗流量洪峰。
  2. 传输加密:HTTPS = HTTP + SSL/TLS,依赖 PKI 体系和数字证书保障身份可信与数据机密。
  3. 纵深防御
    • 外网入口:DDoS 高防 -> WAF -> CLB。
    • 边界管控:云防火墙(南北向 + 东西向)。
    • 数据传输:全链路 SSL 加密。

架构师实践清单 (Checklist)

  • [ ] 边界防护:是否开启了云防火墙并配置了“拒绝所有”默认策略?
  • [ ] Web 防护:公网 Web 业务是否接入了 WAF?是否开启了 CC 防护?
  • [ ] 证书管理:生产环境是否使用了付费 OV/EV 证书?是否部署了国密证书?
  • [ ] 抗 D 预案:是否配置了 DDoS 高防包或高防 IP 的自动调度策略?

本章课程到此结束。下一章,我们将进入 4.4 构建安全计算环境及安全管理中心,探讨主机安全与统一安全运营。